偽Google多要素認証アプリに注意、最近インストールした場合は確認を

画像提供：マイナビニュース

Malwarebytesは7月30日(米国時間)、「Threat actor impersonates Google via fake ad for Authenticator｜Malwarebytes」において、Googleの多要素認証(MFA: Multi-Factor Authentication)アプリ「Google Authenticator」に偽装したマルバタイジングを確認したとして注意を呼びかけた。マルバタイジングとは、ネット広告を悪用してマルウェアを拡散するサイバー攻撃の手法。

この攻撃では、Googleになりすました脅威アクターがGoogle検索から偽Googleアプリの広告を配信しており、Google広告の信頼性が損なわれたと評価されている。

○偽のGoogle Authenticatorの正体

今回確認された偽広告は、Google検索からGoogle Authenticatorを検索した場合に表示されるという。偽広告には通常通り「Sponsored」文字が表示され、GoogleがGoogleの広告主という奇妙な表示を確認することができる。

広告主の情報を確認すると「Larry Marr」という名前を確認できるが、これはGoogleと無関係の人物または偽名とみられる。この偽広告にアクセスすると攻撃者の管理するサーバを経由したリダイレクトが行われ、偽のGoogle Authenticator配布サイト「chromeweb-authenticators[.]com」にリダイレクトされる。

Malwarebytesの調査により、この偽サイトからはロシア語のコメントが確認されており、ロシア語を話す脅威アクターの関与が疑われている。この偽サイトからダウンロードできる偽アプリは情報窃取マルウェア「DeerStealer」とされ、配布にはGitHubが悪用されている。
○対策

過去数日間にGoogle Authenticatorを検索してインストールしたユーザーは、上記の偽サイトからマルウェアをインストールしていないか確認することが推奨されている。また、Malwarebytesは同様の攻撃を回避するため、「 広告のリンク先からソフトウェアをダウンロードしない「公式サイトまたは公式アプリストアからソフトウェアをダウンロードする」といったことを推奨している。

今回、脅威アクターはGoogleになりすましてGoogleから偽広告を配信することに成功した。これはGoogle広告の信頼を損なうものであり、Googleには信頼回復の取り組みが望まれている。
（後藤大地）